调用DescribeAlarmEventList接口查询安全告警处理页面的告警事件信息。告警事件分为告警与异常两个维度,一个告警事件包含多个异常事件。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

请求参数

名称 类型 是否必选 示例值 描述
Action String DescribeAlarmEventList

要执行的操作。取值:DescribeAlarmEventList
SourceIp String 1.2.X.X

要查询的访问源的IP地址。
Lang String zh

请求和接收消息的语言类型,默认值为zh。取值:

  • zh:中文
  • en:英文
Dealed String Y

要查询的告警事件的状态。取值:

  • N:待处理告警
  • Y:已处理告警
From String sas

请求来源标识,固定为sas,表示请求来源为云安全中心。

Levels String serious

要查询的告警事件的危险等级,多个危险等级用半角逗号(,)分隔,严重等级递减。取值:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
Remark String database_server

要查询的告警名称或资产信息。
GroupId String tst***

受告警事件影响的资产的分组ID。
AlarmEventName String DDoS木马

要查询的告警事件名称。
AlarmEventType String 恶意进程(云查杀)

要查询的告警事件的类型。
CurrentPage Integer 1

设置从返回结果的第几页开始显示。起始值为1。默认值为1,表示从第1页开始显示。

PageSize String 20

设置分页查询时,每页显示的数据的最大条数。默认值为20
OperateErrorCodeList.N String ignore. Success

告警事件处理结果码。格式为:操作类型.操作结果码。包括以下操作类型:

  • Common:通用操作
  • deal:处理
  • ignore:忽略
  • offline_handled:告警已确认
  • mark_mis_info:加白名单
  • rm_mark_mis_info:取消加白名单
  • quara:隔离
  • kill_and_quara:普通查杀
  • kill_virus:深度清理
  • block_ip:阻断
  • manual_handled:手工处理

操作结果码:

  • Success:成功
  • Failure:失败
  • AgentOffline:客户端离线

调用API时,除了本文中该API的请求参数,还需加入阿里云API公共请求参数。公共请求参数的详细介绍,请参见公共参数

调用API的请求格式,请参见本文示例中的请求示例。

返回数据

名称 类型 示例值 描述
RequestId String 28267723-D857-4DD8-B295-013100000000

本次调用请求的ID,是由阿里云为该请求生成的唯一标识符,可用于排查和定位问题。
PageInfo Object

页面显示的信息。
CurrentPage Integer 1

分页查询时,查询到的当前结果页面的页码。默认值为1
PageSize Integer 20

分页查询时,每页显示的数据的最大条数。默认值为20
TotalCount Integer 1

查询到的告警事件的总条数。
Count Integer 1

分页查询时,当前页显示的数据条数。
SuspEvents Array of SuspEvents

告警事件信息。
Dealed Boolean false

告警是否已处理。取值:

  • true:已处理
  • false:待处理
Stages String [\"authority_maintenance\"]

攻击的阶段。
InternetIp String 1.2.X.X

受影响资产实例的公网IP。
SuspiciousEventCount Integer 1

关联的异常事件的条数。
GmtModified Long 1569235879000

告警最后修改的时间戳。单位:毫秒。
AlarmEventNameOriginal String 恶意命令执行精准防御

告警事件的原始父名称。
AlarmUniqueInfo String 8df914418f4211fbf756efe7a6f40cbc

告警事件的唯一标识ID。
CanCancelFault Boolean false

能否取消标记为误报。取值:

  • true:可以取消
  • false:不可以取消
SecurityEventIds String 270789

关联异常的ID。
CanBeDealOnLine Boolean true

是否能在线处理告警事件,例如阻断隔离、加白名单、忽略等。取值:

  • true:支持在线处理
  • false:不支持在线处理
Description String 黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。

告警事件的描述。
InstanceName String 测试服务器

受影响资产实例的名称。
SaleVersion String 1

告警事件检测支持的售卖版本。取值:

  • 0:基础版本
  • 1:企业版本
OperateErrorCode String kill_and_quara.Success

告警处理结果码。
Solution String 请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。

告警事件的处理方法。
HasTraceInfo Boolean true

告警是否有溯源信息。取值:

  • true:有溯源
  • false:无溯源
DataSource String aegis_***

数据来源。
OperateTime Long 1631699497000

告警处理的时间戳。单位:毫秒。
InstanceId String i-e***

受影响资产实例的ID。
IntranetIp String 1.2.X.X

受影响资产实例的私网IP。
EndTime Long 1543740301000

告警事件最新发生的时间戳。单位:毫秒。
Uuid String 47900178-885d-4fa4-9d77-***

关联实例的唯一标识。
StartTime Long 1543740301000

告警事件的开始时间。
AlarmEventType String 进程异常行为

告警事件类型。
AlarmEventName String 执行恶意命令

告警事件名称。
Level String serious

告警事件的危险等级。取值:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒

示例

请求示例

http(s)://[Endpoint]/?Action=DescribeAlarmEventList
&SourceIp=1.2.X.X
&Lang=zh
&Dealed=Y
&From=sas
&Levels=serious
&Remark=database_server
&GroupId=tst***
&AlarmEventName=DDoS木马
&AlarmEventType=恶意进程(云查杀)
&CurrentPage=1
&PageSize=20
&OperateErrorCodeList=["ignore. Success"]
&公共请求参数

正常返回示例

XML格式 

HTTP/1.1 200 OK
Content-Type:application/xml

<DescribeAlarmEventListResponse>
    <RequestId>28267723-D857-4DD8-B295-013100000000</RequestId>
    <PageInfo>
        <CurrentPage>1</CurrentPage>
        <PageSize>20</PageSize>
        <TotalCount>1</TotalCount>
        <Count>1</Count>
    </PageInfo>
    <SuspEvents>
        <Dealed>false</Dealed>
        <Stages>[\"authority_maintenance\"]</Stages>
        <InternetIp>1.2.X.X</InternetIp>
        <SuspiciousEventCount>1</SuspiciousEventCount>
        <GmtModified>1569235879000</GmtModified>
        <AlarmEventNameOriginal>恶意命令执行精准防御</AlarmEventNameOriginal>
        <AlarmUniqueInfo>8df914418f4211fbf756efe7a6f40cbc</AlarmUniqueInfo>
        <CanCancelFault>false</CanCancelFault>
        <SecurityEventIds>270789</SecurityEventIds>
        <CanBeDealOnLine>true</CanBeDealOnLine>
        <Description>黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。</Description>
        <InstanceName>测试服务器</InstanceName>
        <SaleVersion>1</SaleVersion>
        <OperateErrorCode>kill_and_quara.Success</OperateErrorCode>
        <Solution>请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。</Solution>
        <HasTraceInfo>true</HasTraceInfo>
        <DataSource>aegis_***</DataSource>
        <OperateTime>1631699497000</OperateTime>
        <InstanceId>i-e***</InstanceId>
        <IntranetIp>1.2.X.X</IntranetIp>
        <EndTime>1543740301000</EndTime>
        <Uuid>47900178-885d-4fa4-9d77-***</Uuid>
        <StartTime>1543740301000</StartTime>
        <AlarmEventType>进程异常行为</AlarmEventType>
        <AlarmEventName>执行恶意命令</AlarmEventName>
        <Level>serious</Level>
    </SuspEvents>
</DescribeAlarmEventListResponse>

JSON格式 

HTTP/1.1 200 OK
Content-Type:application/json

{
  "RequestId" : "28267723-D857-4DD8-B295-013100000000",
  "PageInfo" : {
    "CurrentPage" : 1,
    "PageSize" : 20,
    "TotalCount" : 1,
    "Count" : 1
  },
  "SuspEvents" : [ {
    "Dealed" : false,
    "Stages" : "[\\\"authority_maintenance\\\"]",
    "InternetIp" : "1.2.X.X",
    "SuspiciousEventCount" : 1,
    "GmtModified" : 1569235879000,
    "AlarmEventNameOriginal" : "恶意命令执行精准防御",
    "AlarmUniqueInfo" : "8df914418f4211fbf756efe7a6f40cbc",
    "CanCancelFault" : false,
    "SecurityEventIds" : "270789",
    "CanBeDealOnLine" : true,
    "Description" : "黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。",
    "InstanceName" : "测试服务器",
    "SaleVersion" : "1",
    "OperateErrorCode" : "kill_and_quara.Success",
    "Solution" : "请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。",
    "HasTraceInfo" : true,
    "DataSource" : "aegis_***",
    "OperateTime" : 1631699497000,
    "InstanceId" : "i-e***",
    "IntranetIp" : "1.2.X.X",
    "EndTime" : 1543740301000,
    "Uuid" : "47900178-885d-4fa4-9d77-***",
    "StartTime" : 1543740301000,
    "AlarmEventType" : "进程异常行为",
    "AlarmEventName" : "执行恶意命令",
    "Level" : "serious"
  } ]
}

错误码

HttpCode 错误码 错误信息 描述
400 NoPermission no permission 限制访问
400 UnknownError UnknownError 未知错误
500 ServerError ServerError 服务故障

访问错误中心查看更多错误码。